本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
美連鎖醫院MedStar疑遭勒索軟體攻擊,病人被迫轉院 IT Home
未來資安攻擊6大特性與6大對策 iThome
《開後門爭議》iPhone被FBI順利解鎖 蘋果:告訴我你怎麼辦到的? 雅虎奇摩
科技報報/找出誰解鎖iPhone 是蘋果更大的挑戰 今日新聞網
美國政府軍備競賽啟動 對手是蘋果公司? 天下雜誌網
《科技》趨勢Pwn2Own零時差漏洞競賽起跑 中時電子報網
彩券市場:駭客們的冒險樂園 INSIDE
許多社群網站的使用者都不知道,其帳號的隱私權如果設定得太過寬鬆,很可能導致自己的身分資料外流。以 Facebook 為例,您可以設定誰可以看到您的內容 (貼文、您被標記的貼文等等)、誰可以和您聯絡 (好友、好友的好友、或任何人)、誰可以搜尋到您 (透過您提供的電子郵件地址或電話號碼,或者在 Facebook 以外的搜尋引擎搜尋到您的個人檔案等等)。同樣地,Twitter、Google+ 和 LinkedIn 也提供了類似設定。
此外,一些主流的網站瀏覽器,如:Microsoft Internet Explorer、Google Chrome 及 Mozilla Firefox 也都提供了隱私設定。這些設定包括:是否要攔截網路詐騙相關網站、是否要發送「Do No Track」(勿追蹤) 請求,或者是否要讓瀏覽器儲存您的網路密碼 (趨勢科技不建議) 等等。
這麼多的隱私設定,如果能有個簡單的檢查方式,並且推薦最佳設定,也能輕鬆修改設定,讓使用者不必在社群網站和瀏覽器的一大堆設定當中茫然失措,那該有多好。
沒問題,趨勢科技 PC-cillin 讓您輕鬆搞定隱私設定。趨勢科技的網路隱私偵測 (從趨勢科技工具列 > 檢查網路隱私設定進入),可檢查 Facebook、Twitter、Google+ 及 LinkedIn 等社群網站,還有 Internet Explorer、Chrome 及 Firefox 等瀏覽器的隱私設定,並且提供很簡易的方式來修改隱私設定。趨勢科技 PC-cillin 已預設啟用這項功能,您只需確定在瀏覽器當中啟用趨勢科技工具列即可。
在本系列的第一篇文章當中,我們已經示範過如何掃瞄您的社群網站隱私設定。
這一次 (也就是本系列第二篇),我們將示範如何掃瞄瀏覽器的隱私設定。
啟用趨勢科技工具列:
1.在您安裝了趨勢科技 PC-cillin 之後,請開啟您的瀏覽器,然後到畫面右上角依序點選:設定 > 管理附加元件 > 工具列和延伸模組 (Internet Explorer),或是設定 > 擴充功能 (Chrome),或是設定 > 附加元件 > 擴充套件 (Firefox)。然後,選取趨勢科技的相關設定。
想買毒品的人會在一般的瀏覽器上輸入關鍵字來搜尋嗎?
想避開政府監控的異議爆料者如何避免在網路留下證據?
他們會透過一些 IP 位址無法被追查的網路來做這件事。而毒販也不會想將他們的網站架設在可被執法單位透過 IP 位址逮人的地方。除此之外,販賣護照及信用卡等非法犯罪服務,也需要這種能夠確保匿名性的網路。
如果說所有可搜尋的內容都位於地表的話,那麼地底下的部分就是所謂的深層網路:不見天日、不易進入、外表也看不出來。
黑暗網路是深層網路最深邃的部分,需要以特殊的工具或設備才能進入。它們位於地下網路深層的地方,比一般深層網路的內容更需要隱密性。
所謂的深層網路,就是像 Google 這類搜尋引擎基於某種因素無法建立或沒有建立索引、因而搜尋不到的網路內容。可歸納在此定義之下的內容包括:動態網頁、封鎖的網站 (如必須輸入頁面上動態產生的文字才能進入的網站)、未連結的網站、私密網站 (如有密碼保護的網站)、非 HTML內容、周邊輔助內容、程序碼 (script),以及限制存取的網路。
所謂「限制存取的網路」是指一般標準網路組態下存取不到的資源及服務。歹徒可透過這類網路來暗中活動,讓執法機關很難或根本無法追查,例如一些在不受「網際網路名稱與號碼指配機構」(ICANN) 管轄的 DNS 頂層機構 (root) 下註冊的網域。它們經常使用非標準的頂層網域名稱 (TLD),因此需透過特殊的 DNS 伺服器才能正確解析出位址。還有一些是完全註冊在另類 DNS 系統 (而非正統 DNS 系統) 的網域名稱,例如我們討論過的比特幣網域 (Bitcoin Domain)。另類網域不僅完全不受 ICANN 的規範,其非集中化而分散的特性,讓它們很難被圍捕 (必要的話)。
此外,架設在這些限制存取網路上的,通常都是黑暗網路 (Darknet) 或是一些需要特殊軟體 (如 TOR) 才能存取的網站。而一般大眾對深層網路的興趣,也大多圍繞在黑暗網路內的活動。
有別於深層網路上的其他內容,搜尋引擎在進行地毯式搜索時並不會涵蓋限制存取的網路,但原因並非技術上的限制,事實上,像 tor2web 這類閘道服務就提供了一個網域來讓使用者存取隱藏在這類網路上的服務。
繼續閱讀2月13日,英國心理諮商及心理治療協會(BACP)網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。
這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼,會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是,會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話。
安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites,並且在他的發現中分享:「一旦開發者(攻擊者)可以存取一個網站,他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後,上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是,如果網站不是使用PHP,CTB-Locker for Websites將無法作用。」
從首篇報導的勒索軟體 Ransomware事件中,難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本,發現迄今至少有102個網站被感染。 繼續閱讀
打開電腦,骷髏頭畫面現身 ?!
趨勢科技研究團隊近日發現一個俗稱的「Petya」惡意程式(趨勢科技命名為RANSOM_PETYA.A﹚勒索軟體 Ransomware )正進行一波新的攻擊,此惡意程式透過發送電子郵件來散布一封看似要應徵某項工作的電子郵件
,信件內含一個連向 Dropbox 雲端空間的連結,點選連結後會發現內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔可讓收件人用來下載求職者的履歷表。
★針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,PC-cillin 雲端版已經能主動偵測並加以封鎖,建議一般民眾可以立即下載保護自身電腦免於遭受攻擊。
勒索軟體 Ransomware犯罪集團似乎覺得,光是將檔案加密還不足以逼迫使用者,因此,現在他們又開發了一種會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息的加密勒索軟體,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。
這就是俗稱「Petya」的勒索軟體 Ransomware (趨勢科技命名為 RANSOM_PETYA.A)。該程式不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。
這並非惡意程式首次利用合法服務來從事不法行為,但卻是長久以來第一次使用者可能經由合法服務感染勒索軟體 Ransomware。此感染方式有別於傳統以電子郵件附件或含有漏洞攻擊套件的惡意網站來散布的作法。
感染過程:求職信內含一個指向 下載履歷表的]Dropbox連結,求指者的照片是盜用的
研究人員指出,Petya 仍是經由電子郵件來散布。受害者會收到一封看似要應徵某項工作的電子郵件,信件內含一個指向 Dropbox 雲端空間的連結,可讓收件人用來下載求職者的履歷表。
在我們分析到的一個樣本中,此連結指向一個 Dropbox 資料夾,內含兩個檔案:一個是偽裝成履歷表的自我解壓縮執行檔,另一個是冒充「求職者」的照片檔。經過進一步的分析之後,我們發現該照片應該是從網路上盜來的圖片。
